J’ai néanmoins envie de dire quelques mots avant de partir à Marrakech pour oublier un peu le boulot.

Tout d’abord concernant l’open source. Il semblerait que la fameuse crise économique mondiale soit l’occasion de découvrir les logiciels open source. Des acteurs majeurs de ce monde n’hésite pas à le dire, ou carrément organiser des séminaires ou/et des livres blancs sur le thème ‘pourquoi ne pas choisir de l’open source en temps de crise ?’.
C’est une bonne idée d’utiliser la crise pour promouvoir l’open source et accroitre son utilisation, mais je pense qu’il serait préférable d’avoir un message « hors-crise », du genre retour d’expérience.

Par exemple, je travaille en ce moment sur la mise en place d’un gros SI (from scratch) avec une équipe Systèmes sur un bon gros nombre de serveurs et aussi avec l’équipe des développeurs, le tout sur les domaines d’exploitation du SI, monitoring, performance, sécurité des infrastructures et sécurité des développements. C’est très très intéressant (on n’a pas tous les jours l’occasion de faire un SI from scratch), et le mieux dans l’histoire, c’est que c’est de l’open source partout, sauf la base de données (devinez la base de données ? )

Avec ce type de projet, j’ai envie d’aller voir des clients, et dire : voici les problématiques que l’on eu pour la mise en place de notre SI : performance, robustesse, exploitation, support, supervision, sécurité, etc. Et maintenant, voici comment elles ont été résolues avec les outils open source, et bien souvent de façon assez simple.

Autre point important dans l’histoire, le client qui mets en place ce nouvel SI n’a pas réellement de problématique liée au financement du projet, mais plutôt une excellent démarche pragmatique, et qui réussie.  Avec tout de même, une attention particulière sur la compétence des équipes, il y a des gens motivés et compétents pour réussir.

Sur la sécurité, je vous recommande la lecture de ce billet (en français) ou la source du billet (en anglais) sur l’attaque qui a été subit par la fondation Apache sur ses serveurs. Rien de grave, mais le déroulement de l’attaque, et les méthodes utilisés est intéressant pour connaître (même si on le sait déjà) le cheminement d’un attaquant. Par ailleurs, les actions correctives d’Apache sont à évaluer pour son propre SI.

Alfresco, vous connaissez ? C’est un logiciel (open source) de gestion électronique de documents. J’en parle car il y a un petit moment déjà, les gens de Canonical qui sponsorisent la distribution Linux Ubuntu, ont signé un partenariat avec les gens d’Alfresco pour ‘paquetager’ directement Alfresco Labs dans un serveur Ubuntu. Donc maintenant, si vous prenez une distribution Ubuntu Server et le paquetage Alfresco, en une seule ligne de commande vous déployer un serveur Alfresco. J’ai testé, cela marche Dans le même genre, vous avez aussi le logiciel d’ERP OpenBravo.

Et pour ne pas oublier mon logiciel préféré, à savoir JMeter, ce dernier va être directement proposé en tant que paquetage dans la prochaine version de Ubuntu (9.10 Karmic Kaola)

Toujours sur JMeter, la prochaine version (2.4) inclura un fonctionnalité de recherche de texte dans l’Arbre de résultats. J’ai en effet proposé un patch pour cette évolution qui a été validé cette semaine sur le trunk. En somme un bon départ en congés de coté là.

./

Voilà, en ce weekend très chaud ici grâce au chergui, je suis en short et tongue, et il se trouve j’ai envie d’écrire (bizarre ?) plusieurs petites choses, histoire de vous montrer qu’il n’y a pas que JMeter dans la vie

SSTIC : c’est LE symposium de la sécurité informatique en France, il a eu lieu au début de ce mois à Rennes. Non je n’y suis pas allé mais grâce Internet et les blogs en particulier, on peut le suivre (vivre) à distance et en différé. Sur ce lien, vous trouverez des références vers d’autres blogs qui le raconte. Toujours dans ce blog, l’auteur (Bruno Kerouanton) nous détaille la ramp-up qu’il a animé durant quelques minutes au SSTIC. Je partage son point de vue et la méthode : 1/ Stratégie, 2/ Tactique, 3/ et 4/ Choisir et Etudier/connaître sa cible)

ApacheCon Europe 2009, c’est un peu ancien (25-27 mars 2009), mais là aussi c’est une conférence intéressante, notamment sur les aspects Performances Tomcat et Apache. Et non, je n’y suis toujours pas allé, j’ai suivi à distance les conférences, mais de manière ‘réelle’ grâce à la possibilité de voir en ligne une très grosse partie des présentations en live streaming (et aussi ensuite en tant qu’archives), le tout moyennant finances tout de même.

Clairement, Tomcat n’a pas à rougir devant les mastodontes des serveurs d’applications Java/J2EE. Oui c’est juste un conteneur Web (mais vous en connaissez beaucoup des projets avec des EJB ?). Oui, il n’y a pas une superbe interface d’administration, mais bon, normalement les environnements d’exécution une fois installés ne doivent plus être administrés chaque jour ? Enfin, avec des applications correctement conçues et développées…

OpenOffice 3 : Mon passage à Ubuntu 9.04 a vu l’arrivée de OpenOffice 3 en remplaçant de la version 2.4. Malheureusement, il semblerait que l’enregistrement au format DOC (Word) ne se passe pas toujours bien au niveau des pieds-de-pages. C’est frustrant, car avec la 2.4 je n’avais pas de problèmes… Du coup, je suis passé à la 3.1 (en manuel), mais le problème semble toujours là… Va falloir que je parcours la liste des bugs pour voir si je ne suis pas le seul Sinon, un retour en Ubuntu 8.10 ?

Informaticiens au Parlement Européen : Billet intéressant qui nous indique que le parti politique Parti Pirate de Suède a gagné deux places de députés au parlement européen. Je ne vous raconte pas cela pour des questions de politiques, etc. mais plutôt comme un exemple de la ‘révolution Internet’, qui est toujours en cours. Sans être sociologue ou carrément anthropologue, c’est tout de même intéressant de voir les changements apportés par Internet (au sens large) tant passés, que présents et futurs.

Voili Voilà.

./

Le principe du CSRF est simple. On attire un internaute avec des images « pour adulte » et pour voir la suivante, on doit saisir un code de caractères de type CAPTCHA. Cette image de caractères a, en fait, été détournée, et provient d’un site « honnête ». L’internaute saisie le code (attiré par l’envie d’une nouvelle image), et permet ainsi au pirate / spammers d’avoir un code captcha validé afin par exemple de créer un compte email sur un webmail afin d’envoyer des emails SPAM.

Comment peut-on mettre cela en place ?
En utilisant l’injection de IFRAME (un peu comme le XSS (cross site scripting)) tout simplement. En effet, beaucoup de sites internet ne vérifient pas la possibilité d’exécuter du code HTML / XHTML dans les paramètres de formulaires.

Mieux que des discours, quelques captures d’écrans pour démonstration :

Commençons par une recherche sur Google sur une adresse IP qui sert de plateforme de piratage. Ici, le mot-clé est l’adresse IP, mais il suffit de chercher sur d’autres mots-clés « honnêtes » pour tomber sur ce type de lien.

Un clic sur l’un de ces liens, renvoi vers un site « honnête » :

Mais attention, vous allez être redirigé automatiquement vers un site avec des images pour adulte. On remarquera l’ajout de la chaîne « <IFRAME src=//ADRESSE_IP> aux mots-clés du champ recherche. C’est inclut depuis la recherche de Google…
On arrive sur cette page qui présente une grande photo pour adulte, ainsi que des thumbnails pour « montrer la marchandise ».

Il ne reste plus qu’a cliquer sur le lien Suivant pour voir la prochaine.
C’est là que l’internaute va devoir travailler pour le pirate. Et oui, une image Captcha apparaît et l’internaute doit saisir le code pour voir la prochaine image.

Le vice est poussé assez loin, puisque si le code est erroné, un message d’erreur apparaît et l’internaute ne verra pas l’image suivante…

Ainsi, l’internaute quand il saisit correctement les caractères du code Captcha, aide le pirate à créer des comptes de messagerie pour faire du spam (par exemple)…
C’est du donnant-donnant (ou de l’échange de services)

• Par exemple, en découvrant une faille dans un logiciel, si possible avec un logiciel utilisé par beaucoup de monde, genre Word, Windows ou Java (JRE). Là vous avez deux possibilités pour avoir de l’argent :
  • Soit vous êtes plutôt « black hat » (le mauvais coté de la force) et vous vendez sous le manteau votre découverte avec un proof-of-concept (POC) à un quelqu’un ou une organisation… c’est bien entendu illégal.
  • Soit vous êtes plutôt « white hat » (le bon coté de la force), et vous vendez votre découverte + POC à une organisation officielle qui récolte les failles découvertes, par exemple iDefense ou Verisign. En contre partie, et en fonction de la criticité de la faille, vous aurez une prime qui commence à partir de 2000$ et jusqu’à 8000$.
• Ou bien en développant votre outil pour déverrouiller automatiquement un document censé être crypté. Comme par exemple le verrouillage d’Office, avec cet outil vendu 1500$ pour casser en quelques secondes la protection des documents Office.
• Un autre moyen, qui nécessite plus de patience : se faire reconnaître comme un expert (hacker) en sécurité, par exemple à travers la « diffusion responsable » de failles découvertes, via des listes comme Full-Disclosure. Ici pas de paiement en monnaie trébuchante, mais un CV meilleur. L’argent viendra ensuite à travers une activité professionnelle autour de la sécurité (voir les hackers célèbres).
• Et pour finir ces quelques exemples pour gagner de l’argent, il ne faut pas oublier le phishing… et oui, c’est à la mode et c’est illégal. Vous récupérez le compte d’accès à la banque en ligne (ou autres) de votre victime, puis vous transférez les fonds sur d’autres comptes…

Evidemment pour commencer à gagner de l’argent, il faut avoir une très bonne expertise en informatique. Tout le monde ne devient pas un hacker professionnel, mais là aussi, des outils viennent pour aider pour, par exemple, aider à la création de POC d’une faille ou automatiser l’exploitation de failles…

Une solution pourrait être d’installer sur son poste une des ses suites « sécurité » tout-en-un, tel que Norton ou McAfee le propose. Mais là, aussi une crise de confiance existe dans ces logiciels. En effet qui nous dit qu’ils sont dénués de failles ?

[Quelques pointeurs]

• Les hackers célèbres : repentis ou chercheurs
• Verisign, une prime au piratage
• Cassage de documents Office à la vitesse de l’éclair (made in Switzerland)
• Voyages-sncf.com démarre 2007 avec un piratage vite maîtrisé
• Des utilisateurs qui doutent de l’efficacité de leurs logiciels de sécurité

Bien entendu les attaques basées sur Internet Explorer, Windows et Office sont en première place. La raison n’est pas « normal c’est Microsoft », mais plutôt tout simplement car ces logiciels sont présents à peu près partout sur les postes des utilisateurs. Normal donc que les personnes malveillantes (pirates) recherchent et exploitent les failles sur ses produits largement diffusés.

Néanmoins, on pourra remarquer l’arrivée de Mac OS X dans ce classement. Il semblerait en effet que les développeurs de ce système d’exploitation n’aient pas porté une grande attention à sa sécurisation. Dommage, d’autant que les utilisateurs de Mac, ont cette « impression de confiance » sur la sécurité de leur système (largement promu par Apple…).

Un type d’attaque a bien progressé : l’exploitation de failles sur les applications Web (CMS, framework, etc). Les développeurs d’applications Web n’ont pas forcément la fibre sécuritaire, du coup, il est souvent possible de récupérer / d’accéder à des données protégées sur un extranet ou sur une interface d’administration d’un outil de gestion de contenu. Ce type d’attaque (des centaines de nouvelles failles découvertes par semaine) devrait continuer à progresser compte tenu de l’augmentation de l’utilisation d’outils CMS/WCM et de sites Web « dynamiques ».

Ces failles « humaines » sont aussi dans ce classement. En effet, parfois le piratage de données (code d’accès à son compte en ligne par exemple) est rendu possible grâce à la crédulité des utilisateurs. Ces attaques (appelés « phising ») consistent (par exemple) à se faire passer pour une entité connue (par exemple votre banque) à travers un mail, site web, etc… (reprise du logo, charte graphique, etc) et vous invite à vérifier votre mot de passe d’accès, en le re-saisissant via un formulaire web (qui l’enregistrera soigneusement à des fins d’utilisations malveillantes…)

Les attaques de type ZDE (Zero Day Exploit) sont aussi en progression cette année. Elles consistent à exploiter une faille de sécurité annoncée sur un logiciel avant que le patch ne soit disponible. Pendant ce laps de temps, votre poste est exposé, sans moyen de protection…

Le rapport nous donne aussi d’autres types d’attaques entre autres : sur les systèmes de voix sur IP (VoIP), le partage en P2P, les messageries instantanées (pour la diffusion des sypwares, malwares, etc.).

Quelques pointeurs :
Les failles zéro-jour frappent massivement Microsoft

Le phishing coûtera près de 3 Md$ aux internautes américains

Le facteur humain parmi les principaux risques selon le SANS

Le nouveau visage des menaces informatiques